“震荡波”病毒正在爆发百万电脑被感染

芬兰网路安全公司「F安全公司」防毒研究部门负责人希波5月1日说,一种新的网路病毒将自动散播全世界,并且可能已经有数百万台电脑受到感染。这个称为“震荡波”(Sasser)的电脑病毒可以感染给任何开机中的电脑,该病毒的潜在危害有可能超过去年爆发的“冲击波”病毒。

法新社报导说,希波能在赫尔辛基接受电话访问时说:这个病毒与其他大部份的病毒用电子邮件传播不一样。「这是少数可以自动传播的电脑病毒之一。只要你的电脑开机就可能感染。」这种病毒一般是会将你的电脑关机,然后又自动开机,如此重覆好几次。希波能说,有防火墙的电脑可以躲过这种攻击。

他强调,这种病毒虽然会造成不方便,但不会危害电脑。希波能说,专家们目前仍不知道谁创造这个病毒,但他怀疑有青少年为了好玩而创造这个病毒。

中国青年报也报导,5月1日,一个会造成电脑反复重起的高危病毒开始在中国的互联网上泛滥。专业人士称,这个名为“震荡波”的病毒将使互联网面临“重大危险”,其破坏程度可能超过去年肆虐全球的“冲击波”病毒。

瑞星全球反病毒监测网截获了“震荡波”病毒。这里的反病毒专家王耀华说,这个新病毒,会在大家电脑里的各种Windows作业系统内发作。“中招后,可造成机器运行缓慢、网路堵塞,并让电脑系统不停地进行倒计时重启。”这个发作特点类似于去年“冲击波”病毒。

微软今年4月公布的数据显示,去年破坏力最严重的“冲击波”病毒从2003年8月蔓延以来,全球至少有800万台电脑遭到病毒感染。最后,美国联邦调查局出面追查这个病毒的始作俑者。受损害最大的微软公司,悬赏50万美元,奖励提供线索的举报者。中国也是“冲击波”病毒的重灾区之一,数千家单位的网路瘫痪。

另一家中国的反病毒企业金山公司说,5月1日一早,这里的求助电话不断,感染“震荡波”病毒的电脑以ADSL(ADSL为中国电信推出的宽带上网的业务模式)上网用户居多。反病毒专家王耀华建议电脑用户,迅速下载微软补丁程式。如果被感染,要立刻断网,手工删除该病毒文件。

ChinaByte消息说,尽管微软已经发布了修复Lsass漏洞的补丁程序,但据估计目前有90%以上的Windows 2000/XP/2003用户没有给一个系统漏洞打上补丁。根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。

只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。中招后的系统将开启上百个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。

瑞星反病毒专家王耀华介绍,该病毒会通过FTP的5554端口攻击电脑,一旦攻击失败会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成功,病毒会将文件自身传到对方机器并执行病毒程序,然后在C:WINDOWS目录下产生名为avserve.exe的病毒体,继续攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒。

“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run中建立:”avserve.exe”=%windows%avserve.exe的病毒键值进行自启动。

反病毒专家建议用户立即到微软的站点去下载并安装该漏洞的补丁;立即升级反病毒软件的病毒数据库;打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序访问网络。用户还可以下载瑞星公司免费的专杀工具。如果用户来不及下载微软的补丁,或下载的补丁无法正常安装,也可以下载瑞星独家提供的一个只有80K大小的补丁。

如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法如下:

1、断网打补丁。

如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。

2、清除内存中的病毒进程要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择”任务管理器”打开任务管理器界面,然后在内存中查找名为”avserve.exe”的进程,找到后直接将它结束。

3、删除病毒文件病毒感染系统时会在系统安装目录(默认为C:WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:WINNTSystem32)生成一些名为<随机字符串>

收藏
此条目发表在 新闻快递 分类目录。将固定链接加入收藏夹。

发表评论